ดู: 740|ตอบกลับ: 3

[วิธีแก้] ทำอย่างไร ถ้าหากโดนไวรัสเฟสบุ๊ค Mediafile ?

[คัดลอกลิงก์]
ถ้าหากต้องการ แก้ไขแบบกระชับ รวดเร็ว ทันใจ ให้อ่านเส้นทางที่ 1 แต่ถ้าหากต้องการเข้าใจมันมากกว่านี้

โดยการวิจัยค่อนข้างละเอียด ไปอ่านเส้นทางที่2(เลื่อนลงไปจะเจอเอง)


เส้นทา่งที่ 1 (เขียนเอง)

ขอบอกก่อนนี้ว่า มันคือไม่ใช่ ไวรัส แต่คือมัลแวร์เป็นไฟล์รูปซึ่งแฝงมาด้วยมัลแวร์(และแน่นอน ลบรูปนั้นไม่ได้ .. รูปนั้นจะเป็นรูปผู้หญิง)

อาการของผู้ที่โดน มัลแวร์นี้คือ จะส่ง www.mediafile.xxxxxxxxx.jpg ขอบอกเลยว่า mediafile หรือ MF ที่เรารู้จักกัน

ถ้าหากมาในเฟสบุ๊คเพื่อนเราส่งให้หรืออะไรแล้ว .jpg จะบอกว่า คือมัลแวร์แน่นอน ห้ามกดไปเด็ดขาด คราวนี้ผมก็เป็นคนหนึ่งที่เผลอไปกด - - และ

อาการคือมันจะสร้างความรำคาญแก่เพื่อนคือ มันจะส่งแบบนี้ไปเรื่อยๆโดยเราไม่รู้ตัว(รู้อีกที ก็กดดู มันส่งไปแล้ว - - )

โดยการ รัน www.mediafile.xxxxxxxxxxx ไปเรื่อยๆ แต่ จะลงท้ายด้วย .jpg อะไรแนวนี้เสมอ คราวนี้ผมเป็นหนึ่งคนที๋โดนและรำคาญมาก

ทำให้เพื่อนผมหายไปเกือบ 30 คน และผมต้องมานั่งส่งข้อความข้อเท็จจริง กว่า 100 คน คราวนี้เมื่อเราโดนเจ้ามัลแวร์ตัวนี้เข้าเครื่องไปแล้ว มาดูวิธีแก้กัน


ก่อนอื่นนะครับ ให้โหลดโปรแกรมแอนตี้ไวรัสไป Malwarebytes Anti-Malware

http://www.malwarebytes.org/ << โหลดที่นี้เลย กด Free ไป

แล้วพอโหลดมา อินสตอ ให้เสร็จครับ

จากนั้นก็เปิดโปรแกรมมาแล้วกด Perfrom Quick Scan ครับ จากนั้นรอ

พอเสร็จมันจะมีชื่อไฟล์ที่น่าสงสัยมา ให้ลบออกให้หมดเลยครับ(ถ้าว่างๆไปนั่งสักเกตุ ไอ media นี้ จะเป็น มัลแวร์ ไม่เป็นอันตราย แต่จะสร้างความรำคาญ)

จากนั้นโปรแกรมจะให้เรารีเครื่องก็กดรีไปครับ จากนั้นพอมาถึงหน้า เดสท๊อป มันจะยังไม่เข้า ให้กดอะไรสักอย่างเนี้ยแหละ ก็กดไปเรื่อยๆ มันจะเข้ามาหน้าเดสท๊อปให้

แล้วมันก็จะหายไปเอง แต่ข้อความจะไม่หายนะครับ

เมื่อเสร็จแล้วให้ไปที่ Run พิมพ์ %temp% แล้วลบไฟล์ที่อยู่ในนั้นให้หมดเลยครับ(ถ้าลองสังเกตุ จะมีภาพผู้หญิงแปลกๆมา เปิดไม่ได้ นั้นแหละตัวมัลแวร์)

ผมคิดค้น การแก้ปัญหาด้วยวิธีนี้เองครับ และทำได้ชัวร์ 100% ( แอนตี้ตัวอื่นไม่รู้ทำได้ป่าวแต่ผมแนะนำMalwarebytes Anti-Malware ไปครับ เพราะมันแอนตี้

มัลแวร์โดยเฉพาะเลย [แต่ก็แอนตี้ไวรัสด้วย] มัลแวร์ Malwarebytes Anti-Malware จะตรวจสอบได้แม่นยำมากครับ )

Credit : MasterBooM  

    สำหรับวิธีนี้ผมเป็นคนค้นพบเอง และ หาวิธีแก้เองโดยเฉพาะ ได้ผลแบบ 100%

ถ้าหากใครอ่านแล้ว อยากแชร์ โปรดอย่าลืม เอาเครติดไปด้วยนะครับ ^^



เส้นทางที่ 2

(Facebook Worm Analysis [ mediafire.com ] ชำแหละไวรัส Facebook) CR:http://www.mayaseven.com/
เมื่อคืนนี้ผมกำลังนั้ง Analyze Malware ตัวหนึ่งซึ่งเป็น Trojan ธรรมดาแต่มีวิธีการใช้ Unicode ได้น่าสนใจ ผมก็นั้งเขียนโปรแกรมขึ้นมา Proof of Concept ลองนั้นลองโน่น จนใกล้จะเช้ากำลังจะเข้านอน ทันใดนั้น ผมก็ได้รับข้อความจาก Facebook Friend คนหนึ่งตามรูปด้านล่าง



อยู่ดีๆส่ง Link มาแบบไม่มีปี่ไม่มีขลุ่ยแบบนี้ผมก็ฟันธงไปเลยเพื่อนผมติด Worm และกำลังจะแพร่พันธ์ุสู่เพื่อนชาว Facebook ผมก็คิดในใจพึ่ง Analyze เสร็จไปตัว กำลังจะเข้านอน ><" ไหนๆ Friend ผมก็อุตสาห์หวังดีขนาดนี้ก็จัดให้เขาซักหน่อยเริ่มสร้าง Lab ขึ้นมา Analyze เลย


เริ่มจากสิ่งแรก Link: http://www.mediafire.com/?5rkaj8tibydkffp/image0377.bmp ดูเหมือนจะเป็นไฟล์รูปเพราะนามสกุลเป็น .bmp แต่ไหงพอกดเข้าไปแล้วกลายเป็นให้โหลดไฟล์ image07.jpeg.exe ไปได้ละนั้น ถ้าไม่สังเกตุโหลดไปแล้วกดเปิดก็เรียบร้อยโรงเรียนจีนไปเลยน่ะครับ

* Link นั้นเป็น Malware จริงอย่าโหลดมาลองถ้าไม่แน่จริง เพราะอาจจะเป็นภาระเพื่อนฝูงใน Facebook ได้ :P *

** สำคัญ: ไม่ควรเปิดไฟล์ประมวลผลได้เช่น .exe, .bat, .com, ... ที่เรา Download มาจากแหล่งที่ไม่น่าเชื่อถือ ให้คิดไว้ก่อนเลยว่านั้นคือไวรัสแน่ๆ แล้วชีวิตจะไม่เศร้า :P ส่วนสาเหตุว่าทำไมถึงเป็นอย่างนั้น สามารถไปอ่านบทความย้อนหลังใน Blog ดูได้ครับ ผมได้เขียนไว้แล้วว่าทำไมพร้อมทำวิดีโอแสดงให้ดู :P **

กลับมาเข้าเรื่องต่อ Trick ตรงนี้ก็ไม่มีอะไรมากคือ จะอันนี้ http://www.mediafire.com/?5rkaj8tibydkffp
หรืออันนี้ http://www.mediafire.com/?5rkaj8tibydkffp/mayaseven.png มันก็จะไป Download ไฟล์  image07.jpeg.exe เหมือนเดิม นั้นก็คือตัวอักษรหลัง http://www.mediafire.com/?5rkaj8tibydkffp/ ตรงนี้ใส่อะไรก็ได้ไม่มีผล เขาก็เลยใส่ให้เหมือนว่าเป็นรูปทั้งชื่อและนามสกุลไฟล์ เพื่อให้เหยื่อสบายใจในการเปิดดูนั้นเอง

กลับมาเข้าเรื่องต่อ Trick ตรงนี้ก็ไม่มีอะไรมากคือ จะอันนี้ http://www.mediafire.com/?5rkaj8tibydkffp
หรืออันนี้ http://www.mediafire.com/?5rkaj8tibydkffp/mayaseven.png มันก็จะไป Download ไฟล์  image07.jpeg.exe เหมือนเดิม นั้นก็คือตัวอักษรหลัง http://www.mediafire.com/?5rkaj8tibydkffp/ ตรงนี้ใส่อะไรก็ได้ไม่มีผล เขาก็เลยใส่ให้เหมือนว่าเป็นรูปทั้งชื่อและนามสกุลไฟล์ เพื่อให้เหยื่อสบายใจในการเปิดดูนั้นเอง [Social Engineering]




เมื่อ Malware ทำงานปุ๊บ มันก็จะเนียนสร้างไฟล์ชื่อ svchosts.exe นั้นแน่มีเนียนสร้างไฟล์ให้ชื่อเหมือนไฟล์ของระบบ หลังจากนั้นก็มีการเชื่อมต่อไปประมาณ 3-4 ที่นอกนั้งยังไม่พอ มันยังไป Download เพื่อน(Malware) ของมันมาอีกตัวอยู่เบื้องหลัง ซึ่งเราไม่รู้หรอก เอ๊ะแต่ทำไมผมรู้ฮ่าๆ ที่อยู่ของเพื่อนมันคือ  http://www.mediafire.com/download.php?re6k3nnpftba8f2 เป็นไฟล์ชื่อว่า f.exe มันก็โหลดเพื่อนมันมาทำงานหน้าตาเฉย



ผลการ Scan Virus ไฟล์ f.exe จาก Virustotal



มี Anti-Virus อยู่ 3 ตัวจาก 46 ตัวที่เห็นว่าเจ้าไฟล์นี้เป็น Malware หรือไวรัสตามภาษาชาวบ้าน ซึ่งเมื่อตอนเช้าที่ผมกำลัง Analyze นั้นมี Kaspersky  Scan เจออยู่ตัวเดียวว่าไฟล์นี้เป็น Malware แต่ตอนสายๆก็มีเพิ่มมาละเป็น 3 ตัว

เพื่อนๆสามารถลอง Upload File ต้องสงสัยขึ้นไป Scan ที่ web http://www.virustoal.com ได้ครับ


แล้ว Malware มันทำอะไรกับเครื่องเราไปบ้างละ ?




เราจะมาดูกัน โดยทั่วไป Malware เมื่อสามารถ Inject เข้ามาที่เครื่องเหยื่อแล้วมันจะต้องวาง Backdoor หรือช่องทางที่จะเข้ามาควบคุมเครื่องเหยื่อเพื่อให้ทำงานได้อย่างที่ผู้สร้างต้องการ เช่น ขโมยความลับจากเครื่องเหยื่อหรือสั่งเครื่องเหยื่อ ไปยิงเครื่องชาวบ้าน เป็นต้น ซึ่งเจ้า Malware ตัวนี้ก็ไม่พลาดมีการ Reverse TCP ไปที่ Server ของผู้สร้างโดยใช้ IRC Protocol ในการสั่งการตามรูปด้านล่าง


* IRC นี่หลายคนอาจจะเกิดไม่ทัน มันเป็นช่องทาง Chat ที่เอาไว้คุยกันในสมัยก่อน ถ้าใครทันจะรู้จัก PIRCH พูดแล้วน้ำตาจะไหลมันคงเป็น 10 ปีแล้วซินะ :P ถ้าเปรียบเทียบกับสมัยนี้คงจะเป็นเหมือน Camfrog นั้นแล ซึ่ง IRC นี่นิยมมากในการเอามาใช้ควบคุม Bot ในกลุ่ม Hacker เรียกว่า Command and Conquer เอ้ยไม่ใช่ต้องเป็น Command and Control (C&C) Server นั้นแล ส่วนเครื่องเหยื่อที่ติด Malware ก็ถูกเรียกว่า Bot ในความหมายคือเหมือนหุ่นยนต์ที่สามารถเข้าไปบังคับควบคุมได้นั้นเอง *






จากรูปด้านบน ผู้สร้าง Malware เขาอาจจะตกใจเล็กน้อยที่มีแขกไม่ได้รับเชิญ บุกเข้าไปถึงห้องควบคุมเหล่า Bot ของเขา :P


คำถามต่อมาแล้ว C&C Server ที่มันใช้ควบคุมตั้งอยู่ที่ไหนบนโลกนะ ?

คำตอบตามรูปด้านล่าง



ได้ความว่าเป็น Server ตั้งอยู่ที่ Germany สำหรับเจ้าหน้าที่ ที่ต้องการสือบสวนหาผู้สร้าง Malware ก็ได้ข้อมูลเพิ่มในการสืบสวนพอสมควรจากส่วนนี้

Function ของ Malware ตัวนี้ที่เจ๋งอีกอันก็คือส่ง Private Message มาถามว่าเป็น Malware ver ล่าหรือยังต้อง Update ไหม

/PRIVMSG #o.O :{DL}:  http://www.mediafire.com/download.php?re6k3nnpftba8f2 - Update: no

เป็น Malware ที่เป็นจริงเป็นจังสไตล์ Europe  APT (Advanced Persistent Threat)  ซะจริงๆ  :P

และก็มาถึง Function สุดท้ายที่สำคัญ ก็คือ Function ที่มันเอาไว้แพร่พันธุ์ตัวเองผ่านทาง Facebook นั้นเอง เมื่อผมทำการเปิด Web Browser และ Login Facebook ก็มี Process ไม่ได้รับเชิญเกิดขึ้นมาตามรูปด้านล่าง



เจ้าไฟล์ regsrv64.exe ก็จะถูกเรียกขึ้นมาทำงาน ซึ่งที่น่าสนใจไฟล์นี้มีคำอธิบายด้วย Chocolate CupCake CupCake Chocolate Shit ซึ่งอาจจะเป็นชื่อเรียกเจ้า Malware นี้ในอนาคตก็เป็นได้ เมื่อไฟล์ regsrv64.exe ถูกเรียกขึ้นมาประมวลผลก็จะได้ผลดังรูปล่าง




พอถึงเวลาอันเหมาะสมเจ้า Malware ก็จะทำการส่งข้อความไปให้เพื่อนใน Facebook เหมือนอย่างที่ผมได้รับในตอนต้นเรื่องนั้นเอง




ซึ่งเทคนิคในการส่งข้อความนั้นผมจับ Signature บางอย่างได้ ทำให้ผมคิดว่าเขาน่าจะพัฒนา Script ในการส่งข้อความหา Friend ใน Facebook ของ Malware มาจาก Script การส่งข้อความหาเพื่อนทุกคนใน Facebook ของคุณ FiloSottile Source code ตาม Link: https://gist.github.com/FiloSottile/4215248/raw/c17775d928b650b3cb872d9131bce498543e9f27/krumiro_en.js



สรุป & การป้องกัน บทความนี้เราได้ชำแหละเจ้า Facebook Malware ตัวนี้ละเอียดประมาณหนึ่ง(ไม่ไหวที่จะเขียนยาวเพราะยังไม่ได้นอนเลย ~.~ ) เป็น Malware ที่มีความซับซ้อนอยู่ในระดับกลางๆ สำหรับวิธีการป้องกันนั้นก็อย่าคลิก Link มั่วซั่ว แม้กระทั้ง Link ที่เพื่อนเราส่งมาให้ ก็ให้ลองถามเขาดูก่อนว่าใช่เขาส่ง Link นั้นมาให้จริงๆไหม หรือเป็น Bot ที่ถูกควบคุมให้ส่ง Link นั้นมาให้กันแน่ และก็ทำการ Update Anti-Virus สม่ำเสมอครับ :)

สำหรับคนที่ติดเชื้อไปแล้วขั้นตอนที่ง่ายที่ทุกคนทำได้ในการแก้ไวรัสตัวนี้คือ
1.) ดูข้อความของเรา ว่ามีการส่ง Link แปลกๆไปหาเพื่อนๆใน Facebook หรือเปล่า
2.) ถ้ามีก็เริ่มจาก Update โปรแกรม Anti-Virus ที่เรามีก่อนแล้วลอง Scan ดูครับ
3.) ถ้า Scan แล้วเหมือนไม่เจออะไร และยังคงมีส่งข้อความ Link ไวรัสไปให้เพื่อนๆอยู่ ก็ให้ไปโหลด Kaspersky มาลงแล้ว Scan เพราะตัวนี้เป็นตัวแรกที่ Scan ไวรัสตัวนี้เจอและ ณ เวลาตอนเขียนบทความนี้ มีเพียง 3 ยี่ห้อจาก 46 ยี่ห้อที่ Scan เจอไวรัสตัวนี้(ถ้าหากไม่สามารถโหลดได้ สามารถไปทำตามเส้นทางที่ 1 [ผมเขียนเอง]ได้ครับ]
4.) พอ Clear เจ้าไวรัสออกไปได้ก็ทำการเปลี่ยนรหัสผ่าน และ Clear Session ที่ค้างอยู่ให้หมดซะเพราะผมยังไม่ได้ Analyze ลึกลงไปถึงตัว Process มันอาจจะมีการเก็บ Password ของเราส่งไปให้ผู้สร้าง ซึ่งมันทำแน่ๆอยู่แล้วเป็นผม ผมก็ทำ :P




สุดท้ายนี้ โชคดีปลอดภัยทุกคนครับ :P









โพสต์ 7-5-2013 23:50:06 | ดูโพสต์ทั้งหมด
ใจมากกกกกกกกกกกกก

แสดงความคิดเห็น

ไม่เป็นไรครับผม ^^ โดนมาเหมือนกัน เข้าใจความรู้สึกครับ >W<  โพสต์ 7-5-2013 23:52
โพสต์ 8-5-2013 08:40:17 | ดูโพสต์ทั้งหมด
ขอบคุณมากเลย เจอมาเยอะมาก

แสดงความคิดเห็น

ครับผม อย่าลืมนำไปแบ่งปันกับเพื่อนๆด้วยนะ ^^  โพสต์ 8-5-2013 09:36
โพสต์ 8-5-2013 10:52:12 | ดูโพสต์ทั้งหมด
ไอคนคิดก็เข้าใจคิดนะส่งไวรัสมาแบบเนี้ย  สมมุติเพื่อนสนิทส่งมาไคจะคิดว่าเปนไวรัสว่ะ แต่ก็ควรพิมถามคนที่ส่งมาก่อนว่าคืออะไรอยู่ดีแหละก่อนจะกด-.-

แสดงความคิดเห็น

มีลิ้งค์แปลกๆก็พยายามอย่ากดกันนะครับ  โพสต์ 8-5-2013 12:08
ขออภัย! คุณไม่ได้รับสิทธิ์ในการดำเนินการในส่วนนี้ กรุณาเลือกอย่างใดอย่างหนึ่ง ลงชื่อเข้าใช้ | ลงทะเบียน

รายละเอียดเครดิต

ประวัติการแบน|Anime-Thai | สังคมของคนรักอนิเมะ Google+

GMT+7, 3-12-2016 02:51 , Processed in 0.055141 second(s), 29 queries , Gzip On, Xcache On.

Powered by Discuz!

© 2001-2013 Comsenz Inc.

ตอบกระทู้ ขึ้นไปด้านบน ไปที่หน้ารายการกระทู้